Académique Documents
Professionnel Documents
Culture Documents
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 1
Chapitre 9 – Sections et objectifs
9.1 Protocoles de couche réseau
• Expliquez comment la NAT assure l'évolutivité des adresses IPv4 sur
un réseau de PME.
9.2 Configuration de la traduction d'adresses réseau (NAT)
• Configurez les services NAT sur le routeur de périphérie afin de garantir
l'évolutivité des adresses IPv4 dans un réseau de PME.
9.3 Dépannage des configurations de la NAT
• Résolvez les problèmes liés à la NAT sur un réseau de PME.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 2
9.1 Fonctionnement de
la NAT
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 3
Fonctionnement de la NAT
Les caractéristiques de la NAT
Espace d'adressage privé IPv4
• 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16
Qu'est-ce que la fonction NAT ?
• Un processus visant à traduire une adresse réseau IPv4
• La conservation des adresses IPv4 publiques
• Une configuration au niveau du routeur de frontière pour la traduction
Terminologie NAT
• Adresse interne
• Adresse locale interne
• Adresse globale interne
• Adresse externe
• Adresse locale externe
• Adresse globale externe
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 4
Fonctionnement de la NAT
Les types de NAT
Traduction d'adresses réseau statique
• Un mappage de type un à un des adresses locales et
globales
• Ces mappages sont configurés par l'administrateur
réseau et restent constants
NAT dynamique
• Utilise un pool d'adresses publiques et les attribue
selon la méthode du premier arrivé, premier servi
• Il doit exister suffisamment d'adresses publiques
disponibles pour satisfaire le nombre total de
sessions utilisateur simultanées
Port Address Translation (PAT)
• Mappe plusieurs adresses IPv4 privées à une seule
adresse IPv4 publique ou à quelques adresses
• Appelée également surcharge de NAT
• Confirme que les paquets entrants ont été demandés
• Utilise les numéros de port pour transmettre les
paquets de réponses au bon appareil interne
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 5
Fonctionnement de la NAT
Les bénéfices de la NAT
Avantages de la fonction NAT
• Elle conserve le schéma d'adressage officiellement inscrit.
• Elle augmente la souplesse des connexions au réseau public.
• Elle assure la cohérence des schémas d'adressage du réseau interne.
• Elle garantit la sécurité du réseau.
Inconvénients de la fonction NAT
• Dégradation des performances
• Dégradation de la fonctionnalité de bout en bout
• Perte de la traçabilité IP de bout en bout
• Tunneling plus complexe
• Perturbations éventuelles de l'établissement des connexions TCP
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 6
9.2 Configuration de la
traduction d'adresses réseau
(NAT)
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 7
Configuration de la traduction d'adresses réseau (NAT)
Configuration de la NAT statique
Configuration de la fonction NAT statique
• Créez le mappage entre les adresses locales internes et les adresses locales
externes
ip nat inside source static local-ip global-ip
• Définissez quelles interfaces appartiennent au réseau interne et lesquelles
appartiennent au réseau externe
ip nat inside
ip nat outside
Analyse de la NAT statique
Vérification de la NAT statique
show ip nat translations
show ip nat statistics
clear ip nat statistics
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 8
Configuration de la traduction d'adresses réseau (NAT)
Configuration de la NAT dynamique
Fonctionnement de la NAT dynamique
• Le pool d'adresses IPv4 publiques (pool d'adresses globales internes)
est disponible pour tous les appareils du réseau interne selon le
principe du premier arrivé, premier servi.
• Avec la NAT dynamique, une adresse interne est traduite en une seule
adresse externe.
• Le pool doit être suffisamment vaste pour prendre en charge tous les
appareils internes.
• Un appareil ne pourra pas communiquer avec les réseaux externes si
aucune adresse n'est disponible dans le pool.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 9
Configuration de la traduction d'adresses réseau (NAT)
Configuration de la NAT dynamique (suite)
Configuration de la NAT dynamique
• Créez le mappage entre les adresses locales internes et les adresses locales
externes
ip nat pool name start-ip end-ip {netmask netmask |
prefix-length prefix-length}
• Créez une liste de contrôle d'accès standard pour permettre la traduction de
ces adresses
access-list access-list-number permit source [source-
wildcard]
• Reliez la liste de contrôle d'accès au pool
ip nat inside source list access-list-number pool name
• Identifiez les interfaces interne et externe
ip nat inside
ip nat outside
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 10
Configuration de la traduction d'adresses réseau (NAT)
Configuration de la NAT dynamique (suite)
Analyse de la NAT dynamique
Vérification de la NAT dynamique
show ip nat translations
show ip nat translations verbose
clear ip nat statistics
clear ip nat translations *
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 11
Configuration de la traduction d'adresses réseau (NAT)
Configuration de la traduction d'adresses de
port (PAT)
Configuration de la PAT : pool d'adresses
• Créez le mappage entre les adresses locales internes et les adresses locales externes
ip nat pool name start-ip end-ip {netmask netmask | prefix-
length prefix-length}
• Créez une liste de contrôle d'accès standard pour permettre la traduction de ces
adresses
access-list access-list-number permit source [source-wildcard]
• Reliez la liste de contrôle d'accès au pool
ip nat inside source list access-list-number pool name
• Identifiez les interfaces interne et externe
ip nat inside
ip nat outside
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 12
Configuration de la traduction d'adresses réseau (NAT)
Configuration de la traduction d'adresses de
port (PAT) (suite)
Configuration de la PAT : adresse unique
• Définissez une liste de contrôle d'accès standard pour permettre la traduction
de ces adresses
access-list access-list-number permit source [source-
wildcard]
• Établissez une traduction dynamique de la source, en spécifiant la liste de
contrôle d'accès, l'interface de sortie et l'option de surcharge
ip nat inside source list access-list-number interface
type name overload
• Identifiez les interfaces interne et externe
ip nat inside
ip nat outside
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 13
Configuration de la traduction d'adresses réseau (NAT)
Configuration de la traduction d'adresses de
port (PAT) (suite)
Analyse de la PAT
Vérification de la PAT
show ip nat translations
show ip nat statistics
clear ip nat statistics
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 14
Configuration de la traduction d'adresses réseau (NAT)
Le transfert de port
Transfert de port
• Le transfert de port consiste à transférer un port réseau d'un nœud réseau à un autre.
• Un paquet envoyé à l'adresse IP publique et au port d'un routeur peut être transféré à
une adresse IP privée et à un port d'un réseau interne.
• Cette procédure est utile lorsque les serveurs ont des adresses privées, lesquelles ne
sont pas accessibles depuis des réseaux externes.
Exemple de routeur sans fil
Configuration du transfert de port avec IOS
ip nat inside source [static {tcp | udp local-ip local-port global-
ip global-port} [extendable]
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 15
Configuration de la traduction d'adresses réseau (NAT)
Configuration de la NAT et d'IPv6
NAT pour IPv6 ?
• IPv6 fournit 340 sextillions d'adresses à partir d'une adresse 128 bits.
• L'espace d'adressage n'est pas un problème pour IPv6.
• De par sa conception, IPv6 n'a pas besoin de recourir à la NAT publique-privée IPv4.
Toutefois, IPv6 implémente une forme d'adresses privées qui sont mises en œuvre
différemment par rapport à IPv4.
Adresse locale unique IPv6
• Les adresses locales uniques (ULA, Unique Local Address) IPv6 sont conçues pour
permettre les communications IPv6 à l'intérieur d'un site local.
• Ces adresses n'ont pas vocation à fournir un espace d'adressage IPv6 supplémentaire.
• Elles ont le préfixe FC00::/7, ce qui aboutit à une première plage d'hextets de FC00 à
FDFF.
• On les appelle également adresses
IPv6 locales (à ne pas confondre
avec les adresses de liaison locale
IPv6).
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 16
Configuration de la traduction d'adresses réseau (NAT)
Configuration de la NAT et d'IPv6 (suite)
NAT pour IPv6
• IPv6 utilise également la NAT, mais dans un contexte très différent.
• Dans IPv6, la NAT est utilisée pour établir une communication transparente entre IPv6 et
IPv4.
• NAT64 n'est pas une solution permanente, mais plutôt un mécanisme de transition.
• La traduction d'adresses réseau/de protocoles (NAT-PT) était un autre mécanisme de
transition vers IPv6 basé sur la NAT, mais celui-ci a été abandonné par l'IETF.
• NAT64 est désormais recommandé.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 17
9.3 Dépannage de la NAT
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 18
Dépannage de la NAT
Dépannage des configurations de la NAT
Dépannage de la NAT : commandes show
clear ip nat statistics
clear ip nat translations *
show ip nat statistics
Show ip nat translations
Dépannage de la NAT : commandes debug
debug ip nat
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 19
9.4 Résumé du chapitre
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 20
Résumé du chapitre
Résumé
Ce chapitre a décrit la manière dont la NAT est utilisée pour éviter la pénurie d'espace
d'adressage IPv4.
La NAT permet de ménager l'espace d'adressage public et représente une économie
considérable en termes de coûts d'administration liés à la gestion des ajouts, des
déplacements et des modifications.
La NAT pour IPv4, notamment :
• Les caractéristiques, la terminologie et le fonctionnement général de la NAT.
• Les différents types de NAT : NAT statique, NAT dynamique et NAT avec surcharge.
• Les bénéfices et les inconvénients de la NAT.
La configuration, la vérification et l'analyse de la NAT statique, de la NAT dynamique et de
la NAT avec surcharge.
La manière dont le transfert de port peut être utilisé pour accéder à des appareils internes
à partir d'Internet.
Le dépannage de la NAT à l'aide des commandes show et debug.
La manière dont la NAT pour IPv6 est utilisée pour la conversion entre les adresses IPv6
et les adresses IPv4.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 21
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 22